Industrial que envolvem uma série sistemática de processos químicos, físicos, elétricos e mecânicos são normalmente protegidos por sistemas tradicionais e obsoletos, que nunca foram concebidos para fazer face às ameaças modernas no domínio da cibersegurança.
Nas indústrias de produção de energia e de refinação, estes processos visam a transformação de matérias-primas em energia, em grande escala. Os diversos equipamentos OT utilizados nas refinarias de petróleo precisam de comunicar entre si para que os processos de engenharia funcionem.
E é aqui que surge a vulnerabilidade crítica.
Os sistemas de controlo, tais como PLCs, DCS e SCADA, partem geralmente do princípio de que tudo o que comunica com eles é de confiança. Por conseguinte, podem não dispor de autenticação, encriptação ou da capacidade de validar comandos.
Se os sistemas OT estiverem na mesma rede que os sistemas de TI (ferramentas de acesso remoto, ligações de subcontratados ou computadores portáteis de manutenção), qualquer violação nessas áreas menos seguras pode atingir diretamente o ambiente de controlo. Consequentemente, um incidente de segurança que tenha início na área de TI pode propagar-se lateralmente para a área de OT com pouca resistência.
Ataques DoS/DDoS, software mal configurado ou utilizadores com intenções maliciosas podem comunicar diretamente com os sistemas de controlo, podendo alterar os valores do processo, interromper a produção, danificar o equipamento ou criar condições de funcionamento inseguras.
Os ambientes OT dão prioridade à disponibilidade e à estabilidade. Não se trata de sistemas que possam ser corrigidos rapidamente, o que significa que as vulnerabilidades permanecem exploráveis durante longos períodos. Numa rede plana ou mal segmentada, um único incidente pode, por isso, agravar-se rapidamente e afetar vários ativos ou locais.
O nosso cliente, uma das maiores empresas cotadas em bolsa do mundo nos setores da energia e da química, reconheceu a sua exposição ao risco e decidiu resolver as vulnerabilidades decorrentes de sistemas legados através da segmentação.
Com uma segmentação adequada em vigor, as redes são separadas com base no risco e na função. Desta forma, os ativos críticos de OT só são acessíveis através de vias rigorosamente controladas, enquanto a comunicação é explicitamente definida e restringida, em vez de se partir do princípio de que é segura por defeito.
Uma vez que as firewalls tradicionais de TI se revelaram ineficazes na gestão dos seus protocolos de comunicação específicos, a organização recorreu ao MetaDefender Industrial Firewall OPSWATFirewall criar uma segmentação segura entre os ativos críticos de OT e as zonas menos seguras.
Quando a cibersegurança se torna segurança nacional
Enquanto importante operadora europeia do setor do petróleo e do gás, os processos do cliente dependiam de infraestruturas distribuídas por várias refinarias, plataformas de perfuração offshore e centros de controlo de oleodutos.
Esta infraestrutura dependia fortemente de sistemas industriais antigos, tais como PLCs, plataformas SCADA e IHMs.
Estes sistemas foram originalmente concebidos a pensar na fiabilidade e na disponibilidade, e não na cibersegurança. Careciam de autenticação integrada, encriptação e registo detalhado.
Os firewalls tradicionais de TI utilizados revelaram-se ineficazes na gestão dos protocolos de comunicação específicos utilizados em ambientes de OT e CPS, deixando os sistemas expostos a:
- Tráfego de rede desnecessário e riscos de movimento lateral
- Possíveis pontos de entrada para ransomware e ciberataques direcionados
- Dificuldades na aplicação de um controlo granular sobre os protocolos industriais
Estes não são riscos que uma organização que opera nos setores da produção e refinação de energia possa simplesmente ignorar: os ataques aos sistemas energéticos podem ameaçar a segurança pública, perturbar serviços essenciais e enfraquecer a segurança nacional.
Em vez de esperar que o pior acontecesse, o cliente decidiu resolver a situação precária que a organização enfrentava, implementando MetaDefender Industrial Firewall OPSWAT.
Garantir a Industrial , cumprindo simultaneamente os requisitos da norma IEC 62443 e da NIS2
A empresa implementou OPSWAT MetaDefender Industrial Firewall criar uma segmentação segura entre os ativos críticos de OT e as zonas menos seguras.
MetaDefender Industrial Firewall
Firewall nossoFirewall Industrial Firewall Operações é um firewall robusto e de alto desempenho, concebido para ser a última linha de defesa contra configurações incorretas acidentais, utilização maliciosa, ameaças de dia zero, ataques DoS e DDoS e anomalias potencialmente prejudiciais.
Graças à sua inspeção profunda de pacotes para protocolos industriais e ao controlo de acesso baseado em políticas, a firewall permitiu ao cliente:
- Proteger os recursos OT/ICS contra ciberataques dirigidos a sistemas PLC, SCADA e DCS.
- Filtrar e controlar protocolos industriais para bloquear comandos não autorizados, permitindo simultaneamente operações seguras.
- Proteja as estações de trabalho dos historiadores e dos engenheiros contra tentativas de acesso não autorizado.
Apoio à conformidade com as normas IEC 62443 e NIS2
Com o Industrial Firewall Operations, o cliente também recebeu apoio nos seus esforços para manter a conformidade com os requisitos da norma IEC 62443 e da Diretiva NIS2 para os operadores europeus de serviços essenciais.
A Diretiva NIS2 | IEC 62443 |
Aplicação das medidas de gestão de riscos: Assegura a segmentação da rede entre as áreas de TI e OT, com o objetivo de reduzir o risco cibernético sistémico para os serviços essenciais. | Arquitetura de zonas e canais: |
Redução da superfície de ataque: | Validação ao nível do comando: |
Resiliência operacional: O serviço « | Filtragem de comandos Industrial : |
Controlos preparados para auditoria: O | Integridade do Controlo e da Comunicação (SR 3.x): |
Responsabilidade ao nível do Conselho de Administração: O « | Aplicação do controlo de acesso aos ativos de OT: Restringe o acesso a PLCs, SCADA e estações de trabalho de engenharia |
Controlo ou segmentação arquitetónica, estabilidade operacional e melhoria da governação
Firewall MetaDefender Industrial Firewall funcionaFirewall como um sistema de controlo compensatório para ativos antigos ou que não podem receber atualizações de segurança, o que é bastante comum em refinarias e sistemas de oleodutos.
Com o Firewall, o cliente pode agora:
- Evitar comandos acidentais ou não autorizados aos controladores através da inspeção de protocolos industriais.
- Conter as perturbações ao nível do local, evitando a propagação por várias instalações interligadas.
- Limitar o tráfego anómalo e os pacotes malformados para preservar a disponibilidade do controlador.
- Isolar os sistemas de segurança das redes de controlo normais, a fim de reduzir o risco operacional.
- Assegurar a aplicação, passível de auditoria, da gestão do acesso por parte de fornecedores e contratados.
Oportunidades futuras
O nosso cliente compreende que a segmentação segura é apenas o primeiro passo para a implementação de uma estratégia sólida de defesa em profundidade.
No entanto, trata-se de um passo importante, uma vez que a preparação para o crescimento futuro permite à organização prosseguir com os seus processos num ambiente seguro.
O cliente pode agora reforçar a sua estratégia de cibersegurança através das seguintes medidas:
- IntegraçãoFirewall MetaDefender Industrial Firewall MetaDefender OT Security garantir a visibilidade dos ativos e vulnerability detection redes das refinarias e dos oleodutos.
- Aproveitar MetaDefender OT Access permitir um acesso remoto e seguro a ambientes OT.
- Desenvolver uma estratégia de defesa em camadas nas plataformas offshore e nas refinarias, com vista a mitigar os riscos associados a pessoas internas e à cadeia de abastecimento.
Se a sua organização pretende modernizar e proteger a sua rede em grande escala, o MetaDefender Industrial Firewall ajudá-lo a agilizar a resolução de problemas e a melhorar as operações.
Entre em contacto connosco para saber como OPSWAT nossa OPSWAT pode proteger os seus sistemas.
